You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1499

[MS/IE] Mehrere Schwachstellen im Microsoft Internet Explorer (UPDATE)
(2008-12-10 14:25:45.377912+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/Bulletin/MS08-073.mspx

Mehrere Schwachstellen im Internet Explorer können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Browser-Benutzers auf dem beherbergenden Betriebssystem auszuführen. Einzelne der Schwachstellen werden automatisiert ausgenutzt.

Inhalt

Zusammenfassung

  • CVE-2008-4258:
    • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
    • Einfallstor: COM-Objekt
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Pufferüberlaufschwachstelle
    • Gefahrenpotential: hoch
    • Workaround: ja
    • Gegenmaßnahmen: Patch
    • Vulnerability ID: CVE-2008-4258
  • CVE-2008-4259:
    • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
    • Einfallstor: WebDAV-Zugriff
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Pufferüberlaufschwachstelle
    • Gefahrenpotential: hoch
    • Workaround: ja
    • Gegenmaßnahmen: Patch
    • Vulnerability ID: CVE-2008-4259
  • CVE-2008-4260:
    • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
    • Einfallstor: HTML-Code
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Pufferüberlaufschwachstelle
    • Gefahrenpotential: hoch
    • Workaround: ja
    • Gegenmaßnahmen: Patch
    • Vulnerability ID: CVE-2008-4260
  • CVE-2008-4261:
    • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
    • Einfallstor: HTML-Code
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Pufferüberlaufschwachstelle
    • Gefahrenpotential: hoch
    • Workaround: ja
    • Gegenmaßnahmen: Patch
    • Vulnerability ID: CVE-2008-4261
  • CVE-2008-4844:
    • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 8 Beta 2, sowie frühere
    • Einfallstor: XML-Code
    • Angriffsvoraussetzung: Benutzerinteraktion
    • Angriffsvektorklasse: remote
    • Auswirkung: user compromise
    • Typ: Pufferüberlaufschwachstelle
    • Gefahrenpotential: hoch
    • Workaround: ja
    • Gegenmaßnahmen: Patch (UPDATE)
    • Vulnerability ID: CVE-2008-4844, VU#493881

Betroffene Systeme

  • CVE-2008-4258:
    • Microsoft Internet Explorer 5.01 SP4
    • Microsoft Internet Explorer 6
    • Microsoft Internet Explorer 6 SP1
    • Microsoft Internet Explorer 7
  • CVE-2008-4259:
    • Microsoft Internet Explorer 5.01 SP4
    • Microsoft Internet Explorer 6
    • Microsoft Internet Explorer 6 SP1
    • Microsoft Internet Explorer 7
  • CVE-2008-4260:
    • Microsoft Internet Explorer 5.01 SP4
    • Microsoft Internet Explorer 6
    • Microsoft Internet Explorer 6 SP1
    • Microsoft Internet Explorer 7
  • CVE-2008-4261:
    • Microsoft Internet Explorer 5.01 SP4
    • Microsoft Internet Explorer 6
    • Microsoft Internet Explorer 6 SP1
    • Microsoft Internet Explorer 7
  • CVE-2008-4844:
    • Microsoft Internet Explorer 5.01 SP4
    • Microsoft Internet Explorer 6
    • Microsoft Internet Explorer 6 SP1
    • Microsoft Internet Explorer 7
    • Microsoft Internet Explorer 8 Beta 2
    • Vermutlich auch frühere Versionen

Einfallstor

  • CVE-2008-4258:
    COM-Objekt, z.B. in einer Webseite oder einer HTML-E-Mail-Nachricht
  • CVE-2008-4259:
    WebDAV-Zugriff
  • CVE-2008-4260:
    Speziell präparierte HTML-Datei, etwa eine Webseite oder HTML-E-Mail-Nachricht
  • CVE-2008-4261:
    Speziell präparierte HTML-Datei, etwa eine Webseite oder HTML-E-Mail-Nachricht
  • CVE-2008-4844:
    Speziell präparierter XML-Code z.B. in einer HTML-Datei, etwa eine Webseite oder HTML-E-Mail-Nachricht

Angriffsvoraussetzung

  • CVE-2008-4258:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
    (user interaction)
  • CVE-2008-4259:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen bzw. einen entsprechenden WebDAV-Zugriff durchzuführen.
    (user interaction)
  • CVE-2008-4260:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
    (user interaction)
  • CVE-2008-4261:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
    (user interaction)
  • CVE-2008-4844:
    Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
    (user interaction)
  • Anmerkung: In jedem Fall ist eine Konfiguration einer Anwendung in der Art, dass automatisch dritte Anwendungen gestartet werden, die einen gerade in der Bearbeitung befindlichen Dateityp verarbeiten können, gefährlich! Dies gilt insbesondere für Dateien, die aus einer (potentiell) nicht vertrauenswürdigen Quelle stammen. Besonders im Rahmen des Lesens von E-Mail-Nachrichten ist z.B. der automatische Start des Internet Explorers zum Betrachten einer HTML-Nachricht sehr gefährlich. Entsprechende Konfigurationen sollten umgehend deaktiviert werden.

Angriffsvektorklasse

  • CVE-2008-4258:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-4259:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-4260:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-4261:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-4844:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2008-4258:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
    (user compromise)
  • CVE-2008-4259:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
    (user compromise)
  • CVE-2008-4260:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
    (user compromise)
  • CVE-2008-4261:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
    (user compromise)
  • CVE-2008-4844:
    Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
    (user compromise)

Typ der Verwundbarkeit

  • CVE-2008-4258:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2008-4259:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2008-4260:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2008-4261:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2008-4844:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)

Gefahrenpotential

  • CVE-2008-4258:
    hoch
  • CVE-2008-4259:
    hoch
  • CVE-2008-4260:
    hoch
  • CVE-2008-4261:
    hoch
  • CVE-2008-4844:
    hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2008-4258:
    Ein Pufferüberlauf, der bei der Instantiierung von COM-Objekten durch den Internet Explorer auftreten kann, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

    COM-Objekte können durch entsprechenden Code in HTML-Seiten instantiiert werden.

    Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

  • CVE-2008-4259:

    Beim Zugriff auf ein Dokument mittels WebDAV kann ein Pufferüberlauf im Internet Explorer auftreten, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst einen entsprechenden WebDAV-Zugriff durchzuführen.

  • CVE-2008-4260:

    Eine Schwachstelle in der Speicherverwaltung des Internet Explorers kann einen Pufferüberlauf provozieren, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, wenn der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

  • CVE-2008-4261:

    Bei der Verarbeitung von HTML-Tags durch den Internet Explorer kann ein Pufferüberlauf auftreten, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, wenn der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

  • CVE-2008-4844:

    Eine Schwachstelle in der Speicherverwaltung des Internet Explorers die bei der Verarbeitung von speziell präpariertem XML-code auftritt, kann einen Pufferüberlauf provozieren, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, wenn der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

Workaround

  • CVE-2008-4258:
    • Die Erfolgreiche Ausnutzung der Schwachstelle kann verhindert werden, wenn die Instantiierung von COM-Objekten durch den Internet Explorer abgeschaltet wird. Details zu den entsprechenden Konfigurationsänderungen finden sich hier sowie im Microsoft Knowledge Base Article 240797 .
    • Konfiguration des IE in der Weise, dass vor Ausführung aktiver Inhalte eine Nachfrage beim Benutzer erfolgt oder Abschalten des Active Scripting.
    • Setzen aller IE-Sicherheitszonen auf "hoch" bzw. "high", so dass vor jeder Ausführung aktiver Inhalte ein Dialog mit dem Benutzer erfolgt.
  • CVE-2008-4259:
    • Abschaltung des WebClientservice im Internet Explorer
  • CVE-2008-4260:
    • Nichtverwendung betroffener IE-Versionen.
      Alternativ können andere Browserprodukte, etwa Mozilla Firefox eingesetzt werden. eingesetzt werden.
    • Es ist kein anderer Workaround zur Verhinderung der erfolgreichen Ausnutzung der Schwachstelle bekannt.
  • CVE-2008-4261:
    • Nichtverwendung betroffener IE-Versionen.
      Alternativ können andere Browserprodukte, etwa Mozilla Firefox eingesetzt werden. eingesetzt werden.
    • Es ist kein anderer Workaround zur Verhinderung der erfolgreichen Ausnutzung der Schwachstelle bekannt.
  • CVE-2008-4844:
    • Nichtverwendung betroffener IE-Versionen.
      Alternativ können andere Browserprodukte, etwa Mozilla Firefox eingesetzt werden. eingesetzt werden.
    • Deaktivierung des Microsoft OLE DB Row Position Library COM object
      Dieses Objekt kann durch Löschung des folgenden Registry Keys deaktiviert werden:
            Windows Registry Editor Version 5.00
      
            [HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
      
      Seiteneffekt der Löschung dieses Keys ist das Nichtfunktionieren aller Applikationen, die dieses das Objekt aufrufen. Jedoch wären auch diese Applikationen potentiell von der Schwachstelle betroffen.

Gegenmaßnahmen

  • CVE-2008-4258:
    Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
  • CVE-2008-4259:
    Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
  • CVE-2008-4260:
    Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
  • CVE-2008-4261:
    Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
  • CVE-2008-4844:
    Installation der mit dem Microsoft Security Bulletin MS08-078 bereitgestellten Patches bzw. Updates. (UPDATE) verfügbar.

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

  • CVE-2008-4844:
    Die Schwachstelle wird zunehmend ausgenutzt, funktionierender Exploitcode ist in Umlauf und in Malware verbaut.

Revisionen dieser Meldung

  • V 1.0 (2008-12-10)
  • V 1.1 (2008-12-16)
  • V 1.2 (2008-12-17)
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.